多個(gè)Log4j 1.x的漏洞

 漏洞資訊     |      2022-01-21

一、  漏洞描述

Apache發(fā)布安全公告披露了3個(gè)Log4j的漏洞,均影響Apache Log4j 1.x版本,且官方不再進(jìn)行支持維護(hù),請(qǐng)相關(guān)用戶(hù)盡快采取措施進(jìn)行防護(hù)。

二、  漏洞詳情

CVE-2022-23302: Apache log4j JMSSink反序列化代碼執(zhí)行漏洞

CVE: CVE-2022-23302

組件: log4j

漏洞類(lèi)型: 代碼問(wèn)題

影響: 信息泄露

簡(jiǎn)述: 當(dāng)攻擊者具有修改Log4j配置的權(quán)限或配置引用了攻擊者有權(quán)訪(fǎng)問(wèn)的LDAP服務(wù)時(shí),Log4j1.x所有版本中的JMSSink 都容易受到不可信數(shù)據(jù)的反序列化。攻擊者可以提供一個(gè)TopicConnectionFactoryBindingName 配置,利用JMSSink執(zhí)行JNDI請(qǐng)求,從而以與CVE-2021-4104類(lèi)似的方式遠(yuǎn)程執(zhí)行代碼。Log4j默認(rèn)配置時(shí)不受此漏洞影響。

CVE-2022-23305: Apache log4j JDBCAppender SQL注入漏洞

CVE: CVE-2022-23305

組件: log4j

漏洞類(lèi)型: 代碼問(wèn)題

影響: SQL注入

簡(jiǎn)述: 由于Log4j 1.2.x中的JDBCAppender接受SQL語(yǔ)句作為配置參數(shù),PatternLayout的消息轉(zhuǎn)換器未對(duì)其中輸入的值進(jìn)行過(guò)濾。攻擊者可通過(guò)構(gòu)造特殊的字符串到記錄應(yīng)用程序輸入的內(nèi)容中來(lái)操縱SQL,從而實(shí)現(xiàn)非法的SQL查詢(xún)。Log4j默認(rèn)配置時(shí)不受此漏洞影響。

CVE-2022-23307: Apache log4j Chainsaw反序列化代碼執(zhí)行漏洞

CVE: CVE-2022-23307

組件: log4j

漏洞類(lèi)型: 代碼問(wèn)題

影響: 反序列化代碼執(zhí)行

簡(jiǎn)述: Log4j 1.2.x中的日志查看器Chainsaw中存在反序列化問(wèn)題,可能造成任意代碼執(zhí)行,該漏洞此前被命名為CVE-2020-9493,官方已發(fā)布Apache Chainsaw 2.1.0版本進(jìn)行修復(fù)。Log4j默認(rèn)情況下未配置Chainsaw使用。

Chainsaw v2是由Log4j開(kāi)發(fā)社區(qū)成員編寫(xiě)的與Log4j配套的應(yīng)用程序,是一個(gè)基于GUI的日志查看器,可以讀取Log4j的XMLLayout格式的日志文件。

三、  影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

Apache log4j

Apache log4j 1.X

無(wú)

四、  安全版本

見(jiàn)三

五、  安全建議

通用修補(bǔ)建議:

Apache Log4j 1.x版本,官方不再進(jìn)行支持維護(hù),請(qǐng)相關(guān)用戶(hù)盡快采取措施進(jìn)行防護(hù)。